Termin buchen
Rechtlich · GDPR & EU AI Act

Datenschutzerklärung
für People's Research

Zuletzt aktualisiert: 24. Mai 2026

Diese Erklärung beschreibt, welche personenbezogenen Daten People's Group im Zusammenhang mit People's Research verarbeitet, warum wir sie verarbeiten, wie wir sie schützen und welche Rechte Sie haben. Die Erklärung deckt Besuche auf peoplesresearch.ai sowie Anfragen von Forschern, Krankenhäusern, Universitäten und Medtech-Unternehmen über das Kontaktformular ab.

1 Wer wir sind

People's Research ist ein einwilligungs-basiertes Forschungsumfeld für klinische Studien, geliefert von People's Group, Teglværksvej 2, 5600 Faaborg, Dänemark (CVR 40930809).

Anfragen können gerichtet werden an:

2 Rollen und Datenverantwortung

People's Group ist Verantwortlicher für die personenbezogenen Daten, die über diese Website und im einleitenden Dialog mit Forschern, klinischen Abteilungen, Universitäten und Medtech-Unternehmen verarbeitet werden. Dies umfasst Kontaktformular-Daten, Support-Korrespondenz und Besucher-Analytik.

In den Forschungsstudien selbst - in denen Bürger-Einwilligung den Zugriff auf klinische Daten freigibt - ist die Forschungsinstitution, die die Studie durchführt, Verantwortlicher für den Datensatz der Studie. People's Group stellt das Forschungsumfeld zur Verfügung und übernimmt die Rolle des Auftragsverarbeiters unter Auftragsverarbeitungsvertrag (GDPR Art. 28). Der Bürger steuert die granulare Einwilligung pro Studie über People's Wallet.

Diese Erklärung deckt die Rolle des Verantwortlichen für Besuchende der Website und für eingehende Anfragen ab. Für Studien-Datensätze wird auf den geschlossenen Auftragsverarbeitungsvertrag mit der jeweiligen Forschungsinstitution verwiesen.

3 Welche Daten wir verarbeiten

Wir verarbeiten folgende Datenkategorien von Ihnen als Besuchende oder Anfragende:

  • Kontaktformular: Name, Arbeits-E-Mail, Organisation, Rolle, Sektor und Ihre Nachricht an uns.
  • Technische Metadaten: Referrer, Sprachpräferenz, Zeitstempel, eventuelle UTM-Parameter.
  • Sitzungsdaten: anonymisierte Session-ID und Formular-Flusszeit (elapsed_ms) zum Bot-Schutz.
  • Analyse (nur bei Einwilligung): anonymisierte Nutzungsdaten via Cookie-basiertes Tracking.

Wir verarbeiten keine besonderen Kategorien personenbezogener Daten (GDPR Art. 9) über die Website. Klinische Daten von Bürgern fließen in Forschungsstudien unter der ausdrücklichen Einwilligung des Bürgers (GDPR Art. 9 Abs. 2 lit. a) und werden durch den Auftragsverarbeitungsvertrag der Studie geregelt - nicht durch diese Erklärung.

4 Zweck und Rechtsgrundlage

Jede Datenkategorie wird zu einem bestimmten Zweck mit einer bestimmten Rechtsgrundlage verarbeitet:

  • Kontaktformular, Zweck: Anfrage beantworten und Dialog über eine mögliche Studie oder Kooperation einleiten. Rechtsgrundlage: Einwilligung (GDPR Art. 6 Abs. 1 lit. a).
  • Technische Metadaten und Sitzungsdaten, Zweck: Betriebssicherheit, Bot-Schutz und Zugriffsdokumentation. Rechtsgrundlage: berechtigtes Interesse (GDPR Art. 6 Abs. 1 lit. f). Interessenabwägung: Der Bedarf, das Forschungsumfeld und Besuchende vor Missbrauch zu schützen, überwiegt das Interesse der einzelnen Besuchenden an vollständiger Abwesenheit von Logging.
  • Analyse, Zweck: Verbesserung der Website und ihres Inhalts. Rechtsgrundlage: Einwilligung (GDPR Art. 6 Abs. 1 lit. a).

5 KI, Automatisierung und menschliche Aufsicht

Das Forschungsumfeld enthält KI-Unterstützung für Hypothesen-, Literatur- und Trend-Arbeit. Die KI trifft keine klinischen Entscheidungen und diagnostiziert Teilnehmende nicht. Der Forscher sieht die Quelle, genehmigt den Vorschlag und signiert die endgültige Ausgabe. Jedes Mal.

Für Besuchende von peoplesresearch.ai findet keine automatisierte Entscheidungsfindung nach GDPR Art. 22 statt. Das Kontaktformular wird vom Forschungsteam manuell beantwortet.

People's Research wird mit EU AI Act High-Risk-Pflichten im Auge entworfen - Audit-Spur, Transparenz und menschliche Aufsicht von Anfang an. Wir sagen "aligned" und nicht "compliant", wo das Regime noch nicht voll in Kraft ist (High-Risk-Pflichten ab 2027).

6 Kein Training auf klinischen Daten

Klinische Daten von Bürgern - Akten-Notizen, Laborergebnisse, Wearable-Werte, Bürger-Antworten - werden ausschließlich für die Studie verwendet, der der Bürger zugestimmt hat. Daten werden nie an externe KI-APIs gesendet, auch nicht an OpenAI, Anthropic, Google oder andere Drittanbieter, und werden nicht zum Training, Fine-Tuning oder zur Modelloptimierung verwendet, weder in identifizierbarer, anonymisierter noch aggregierter Form.

Modell-Updates kommen aus externen, dokumentierten Quellen und durchlaufen interne Validierung, bevor sie in Produktion gehen.

7 Aufbewahrung und Löschung

Wir bewahren Daten nur so lange auf, wie es für den Zweck erforderlich ist, zu dem sie erhoben wurden:

DatenkategorieAufbewahrungsfrist
Kontaktformular (ohne anschließende Kooperation)24 Monate ab Eingang
Kontaktformular (Kooperation geschlossen)Dauer der Kooperation + 5 Jahre (Buchführungsgesetz)
Technische Betriebslogs185 Tage
Analyse-DatenGelöscht bei Einwilligungs-Widerruf oder spätestens nach 26 Monaten
Verschlüsselte BackupsIn den obigen Fristen enthalten; Löschanfragen werden auf wiederhergestellten Backups erneut angewendet

Bürger-Einwilligung zur Studien-Teilnahme wird separat über People's Wallet gesteuert - es gelten die eigenen Aufbewahrungsregeln der Studie, und der Bürger kann die Einwilligung jederzeit mit einem Tipp zurückziehen. Anfragen zur früheren Löschung von Kontaktformular-Daten sind an support@peoplesresearch.ai zu richten.

8 Unterauftragsverarbeiter

Wir verwenden Unterauftragsverarbeiter in folgenden Kategorien:

  • Cloud-Hosting von peoplesresearch.ai in EU-Region.
  • KI-Compute für das Forschungsumfeld auf EU-gehosteter Infrastruktur via People's Lab.
  • Formular-Handling auf EU-gehosteter Infrastruktur.

Eine aktuelle Liste spezifischer Unterauftragsverarbeiter kann von support@peoplesresearch.ai angefordert werden. Forschungsinstitutionen, die einen Auftragsverarbeitungsvertrag geschlossen haben, werden bei Änderungen mit mindestens 30 Tagen Vorlauf benachrichtigt, gemäß Auftragsverarbeitungsvertrag.

9 Datenstandort

Der Kern des Forschungsumfelds - Compute, Speicherung und KI-Inferenz für Studien-Datensätze - läuft auf EU-gehosteter Infrastruktur in der Frankfurt-Region via People's Lab. Studien-Datensätze verlassen die EU nicht.

Diese Website (peoplesresearch.ai) wird bei einem Anbieter in EU-Region gehostet. Kontaktformular-Daten passieren EU-gehostete Infrastruktur.

10 Übertragungen außerhalb EU/EWR

Für den Kern des Forschungsumfelds: keine Übertragungen außerhalb EU/EWR. Studien-Datensätze, KI-Inferenz und Backups verbleiben auf EU-gehosteter Infrastruktur.

Für das Website-Hosting wird ein Anbieter mit primärer Geschäftstätigkeit außerhalb der EU genutzt, in EU-Region. Es kann theoretisch zur Übertragung von Betriebs-Metadaten (nicht Formulardaten) in die USA durch die globale Infrastruktur des Anbieters kommen. Solche Übertragung wird durch EU Standard Contractual Clauses (SCC) abgedeckt. Kontaktformular-Daten, die personenbezogene Daten enthalten, werden ausschließlich in EU-gehosteter Infrastruktur verarbeitet.

11 Technische und organisatorische Sicherheitsmaßnahmen

Wir haben die Maßnahmen getroffen, die nach GDPR Art. 32 dem Risiko angemessen sind, einschließlich besonders verschärfter Anforderungen für klinische Forschungsdaten:

Verschlüsselung:

  • Im Transit: TLS 1.2 oder neuer auf allem Netzwerkverkehr.
  • At rest: Full-Disk-Verschlüsselung auf Datenbankservern.
  • Backups: AES-256-Verschlüsselung auf separater EU-Speicherung.

Zugangskontrolle:

  • Rollenbasierte Zugangskontrolle (RBAC) mit Least-Privilege-Prinzip.
  • Zugang zu Studien-Daten ist hinter einem Daten-Zugangs-Komitee gegated.
  • MFA/TOTP erforderlich für jeden privilegierten Zugang.
  • VPN erforderlich für administrativen Zugang zur Produktion.
  • Vier-Augen-Prinzip bei Produktionsänderungen.

Überwachung und Integrität:

  • File Integrity Monitoring auf Produktionsknoten.
  • Zentral gesammelte Systemlogs.
  • SHA-256-Hashing kritischer Transaktionslogs (immutable Audit Trail).
  • Spur, wer welche Studien-Datensätze gesehen hat - für den Bürger über Wallet sichtbar.

Organisatorisch:

  • Personal hat standardmäßig keinen Zugang zu Studien-Daten (No-Access-Support-Modell). Zugang in konkreten Support-Situationen erfordert vorherige Genehmigung der Forschungsinstitution und wird dokumentiert.
  • Verschwiegenheitserklärungen für jedes Personal mit Zugang zur Produktionsumgebung.
  • Regelmäßige Sicherheitsschulung.

12 Forschungs-Unabhängigkeit

Pharma-gesponserte Studien im Forschungsumfeld können ungünstige Befunde nicht unterdrücken. Studien-Protokolle werden vor Daten-Zugriff registriert, und Ergebnisse werden unabhängig vom Sponsor-Ausgang berichtet. Universitäts-Kooperationen behalten volle Publikations-Freiheit. Policy-Dokument auf Anfrage verfügbar.

13 Ihre Rechte

Sie haben folgende Rechte unter GDPR. Welchen Weg Ihre Anfrage nimmt, hängt davon ab, ob wir Ihre Daten als Verantwortlicher (Besuch der Website, Kontaktformular, Kooperationsdialog) oder als Auftragsverarbeiter (Studien-Datensätze im Forschungsumfeld) verarbeiten:

  • Auskunft (Art. 15): Bestätigung erhalten, ob wir Daten über Sie verarbeiten, sowie Kopie der Daten.
  • Berichtigung (Art. 16): unrichtige Daten berichtigen lassen.
  • Löschung (Art. 17): Daten ohne unangemessene Verzögerung löschen lassen, wenn die Bedingungen in Art. 17 Abs. 1 erfüllt sind.
  • Einschränkung (Art. 18): unsere Verarbeitung in bestimmten Situationen einschränken.
  • Datenportabilität (Art. 20): Daten in einem strukturierten, gängigen und maschinenlesbaren Format erhalten.
  • Widerspruch (Art. 21): Widerspruch gegen Verarbeitung auf Grundlage berechtigten Interesses einlegen.
  • Widerruf der Einwilligung (Art. 7 Abs. 3): wo die Verarbeitung auf Einwilligung beruht, kann die Einwilligung mit Wirkung für die Zukunft widerrufen werden. Für die Studien-Teilnahme wird die Einwilligung direkt in People's Wallet widerrufen.

So üben Sie die Rechte aus:

  • Für Studien-Daten im Forschungsumfeld (wir sind Auftragsverarbeiter): kontaktieren Sie die Forschungsinstitution hinter der Studie. Der Bürger kann die Einwilligung direkt in People's Wallet widerrufen.
  • Für Besuch der Website, Kontaktformular und Kooperationsdialog (wir sind Verantwortlicher): kontaktieren Sie support@peoplesresearch.ai.

Wir antworten innerhalb von 30 Tagen, gemäß GDPR Art. 12 Abs. 3. Komplexe Anfragen können mit begründeter Mitteilung innerhalb derselben Frist um bis zu zwei Monate verlängert werden. Wir erheben keine Gebühr, es sei denn, die Anfrage ist offensichtlich unbegründet oder exzessiv (Art. 12 Abs. 5).

14 Sicherheitsverletzung

Wenn eine Verletzung der Personendatensicherheit auftritt:

  • Die dänische Datenschutzbehörde wird innerhalb von 72 Stunden nach Feststellung benachrichtigt, gemäß GDPR Art. 33.
  • Betroffene Forschungsinstitutionen (Verantwortliche für Studien-Datensätze) werden so schnell wie möglich benachrichtigt, internes Ziel 48 Stunden ab Feststellung.
  • Betroffene Personen - einschließlich Bürger, deren Studien-Daten beteiligt sind - werden vom Verantwortlichen gemäß Art. 34 benachrichtigt, wenn die Verletzung voraussichtlich ein hohes Risiko für ihre Rechte und Freiheiten zur Folge hat.

Sicherheitsvorfälle können an support@peoplesresearch.ai gemeldet werden.

15 Cookies und Website-Tracking

peoplesresearch.ai verwendet derzeit ausschließlich strikt notwendige Cookies (Session-ID und Sprachpräferenz). Wir verwenden keine Marketing-Tracker, kein Fingerprinting und kein Cross-Site-Tracking.

Analyse-Cookies werden nur bei aktiver Einwilligung über das Cookie-Banner gesetzt. Die Einwilligung kann jederzeit über "Cookie-Einstellungen" am Seitenfuß widerrufen werden.

16 Beschwerde bei der Datenschutzbehörde

Sie können bei der dänischen Datenschutzbehörde Beschwerde einlegen, wenn Sie meinen, dass unsere Verarbeitung Ihrer Daten gegen die Datenschutzregeln verstößt:

Datatilsynet
Carl Jacobsens Vej 35
2500 Valby, Dänemark
Telefon: +45 33 19 32 00
dt@datatilsynet.dk
www.datatilsynet.dk

Sie müssen sich nicht zuerst an uns gewandt haben, aber wir ermutigen Sie, uns die Möglichkeit zu geben, eine Lösung zu finden, bevor Sie Beschwerde einlegen.

17 Änderungen an dieser Erklärung

Wesentliche Änderungen werden registrierten Kooperationspartnern per E-Mail mindestens 30 Tage vor Inkrafttreten kommuniziert. Geringfügige Änderungen (Präzisierungen, aktualisierte Kontaktdaten) können ohne gesonderten Hinweis publiziert werden.

Frühere Versionen können über support@peoplesresearch.ai angefordert werden.